解读随机性与挖掘黄金:微软安全响应中心的漏洞管理之道

本文深入探讨微软安全响应中心(MSRC)如何处理漏洞报告,从邮件筛选到数据标准化,涵盖CVRF框架的行业应用,旨在提升安全漏洞管理的效率与一致性。

解读随机性与挖掘黄金

作为EcoStrat团队的最新成员,我想从基础开始介绍。我是Adrian Stone,在微软安全响应中心(MSRC)工作近四年。我的当前职责是处理MSRC中的随机和受控混乱,从中挖掘出宝贵的信息。如果我和我的团队工作得当,我们经常能在其中发现“金块”。我常开玩笑说,MSRC就像一盒巧克力,你永远不知道第二天会得到什么:

  • Handle: StoneZ
  • IRL: Adrian Stone
  • Rank: 高级安全项目经理主管
  • Likes: 预测分析、博弈论、数据库、跑车、NFL足球、直接沟通的人
  • Dislikes: 失败、说谎者、装腔作势者、无才小丑

一个新的0-day漏洞被公开?
一个影响整个生态系统供应商的硬工程安全问题?
有人“黑”了你的密码并窃取了MSN Messenger账户?
外星人从Remulak星球读取你的电子邮件?

是的,我的团队处理所有这些。我们调动合适的人和MSRC流程来处理问题。
我管理团队中负责阅读所有发送到secure@microsoft.com邮件的部分,这通常是外部安全研究人员负责任地披露漏洞的入口点。2008年,我们达到了一个新基准:75%的漏洞通过负责任披露报告给我们。绝大多数报告发送到secure@microsoft.com。平均每年我们收到约20万封合法邮件,包括从真实安全问题到绝对离奇的报告。当然,这个数字不包括垃圾邮件,我们仍需单独验证以确保过滤没有遗漏潜在报告,这在基于外语Unicode文本时很容易发生。

如果我们变得自满或不深入挖掘报告,我们可能会错过潜在安全问题。我们经常与安全研究人员互动,以确保从他们的角度理解问题。我们的世界没有自动回复器。我可以证明,有合格安全背景的人员全年365天都在筛选这些邮件。挖掘这些各种语言的邮件报告及其中的数据,对于确保我们像战场医生一样准确评估、分配优先级,并调动公司内合适的产品团队深入调查问题,是无价的。

除了这些,我们还监控各种其他资源,以寻找可能影响Microsoft客户安全的迹象。
我团队的另一个组成部分是负责MSRC的基础设施和数据分析,确保我们学到的漏洞报告和相应修复可以通过安全开发生命周期(SDL)团队的努力,用于改进未来产品。

最终,我的团队充当由安全PM和发布团队驱动的流程的书挡,从漏洞披露开始,到大多数客户看到的每月安全公告发布结束。
我还担任安全公告和建议的编辑和主管。这部分工作最终体现在客户的日常操作中。安全公告和建议是我们通知客户新发现产品漏洞及他们可以采取的修复步骤的工具。正如安全漏洞是跨行业问题,公告和建议的使用也是如此。但有时,称某物为公告或建议只是通信相似性的开始和结束,中间部分可能因人而异。

理解安全公告或建议的内容在不同供应商之间差异很大。比较不同供应商时,关于底层漏洞的准确性、深度以及潜在缓解措施和工作区可能因供应商而异。数据集和术语可能完全不同。例如,一个供应商可能称之为远程代码执行问题,而另一个可能称之为远程权限提升漏洞。这可能让客户问:“这些是相同的吗?哪个更糟?”

正如你所见,这导致客户试图解读术语、技术文档和内容本身的不同细微差别。最终,所有各种形式的信息都被客户消化,以执行风险分析和风险修复计划。这通常是一个非常手动的任务,需要交叉引用漏洞识别号并比较不同和竞争的评分系统。最好的情况下,它耗时;最坏的情况下,如果你处理由不同供应商支持的异构计算环境,它可能非常痛苦。我们不断利用焦点小组并挖掘从客户和合作伙伴收到的关于安全公告和建议内容的反馈,以优化和改进其可用性。虽然这有助于我们和客户关于我们提供的信息,但不幸的是,它没有解决供应商之间对客户的各种细微差别。

这引出了我参与的一个由ICASI成员启动的项目:创建一个行业范围的通用漏洞报告框架(CVRF),关于我们如何呈现漏洞数据和阐明安全问题。CVRF的最终目标是呈现一种可扩展的XML框架,可以轻松被人和工具解析。对供应商和客户的好处是,数据的消费者去除了一些模糊性。该结构可以被供应商利用,以帮助简化他们内部需要的数据记录,以帮助识别和开发更新来解决安全漏洞。虽然项目仍处于起步阶段,但看到它获得关注和各种成员合作解决问题,这很棒,在我来Microsoft之前,这是我作为安全分析师的祸根。我希望我能说当我拿到大楼的门卡时逃脱了它,但事实是,它现在作为MSRC成员占据我的思绪,原因非常不同。现在它经常为我的团队带来挑战,关于我们如何在公司内部和与合作伙伴(如Microsoft Active Protections Program (MAPP) 成员)管理漏洞数据流。重要的是要注意,CVRF不旨在取代各种评分方法来确定漏洞的影响,而是作为一个通用框架来构建许多可以被此类评分系统使用的数据元素。我绝对可以看到CVRF将如何帮助我们变得更好,当然,通过这个过程,我们将继续参与CVSS和CVSS SIG。希望如果我们做对了,安全生态系统中会有更多秩序和更少混乱。这在某些日子里可能像精炼黄金一样宝贵和稀有。

后来,
-A

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次